一、summary随着互联网的发展,隐私以及安全被大家看的越来越重视,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题。

然而这也是我的薄弱之处,希望以本文告诫自己,时刻加强安全防护意识,不要存任何侥幸心理,中间可能会有遗漏的地方,也希望大家能留言告知,让我们所有运维的兄弟们都可以轻松的了解。

  • 用户帐号安全

2.1 设定密码策略#!/bin/bash# Function: 实现对用户密码策略的设定,如密码最长有效期等read -p  "设置密码最多可多少天不修改:" Aread -p  "设置密码修改之间最小的天数:" Bread -p  "设置密码最短的长度:" Cread -p  "设置密码失效前多少天通知用户:" Dsed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A'' /etc/login.defssed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '$B'' /etc/login.defssed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN     '$C'' /etc/login.defssed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '$D'' /etc/login.defsecho "已设置好密码策略......"

2.2 、对用户密码强度的设定打开 /etc/pam.d/sysetm-auth文件 ,修改如下。我们设置新密码不能和旧密码相同,同时新密码至少8位,还要同时包含大字母、小写字母和数字。

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

2.3 、对用户的登录次数进行限制打开/etc/pam.d/sshd文件,在#%PAM-1.0的下面,加入下面的内容,表示当密码输入错误达到3次,就锁定用户150秒,如果root用户输入密码错误达到3次,锁定300秒。锁定的意思是即使密码正确了也登录不了。

auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

2.4、禁止ROOT用户远程登录

2.5、设置历史命令保存条数和账户超时时间#! /bin/bashread -p "设置历史命令保存条数:" Eread -p "设置账户自动注销时间:" Fsed -i '/^HISTSIZE/c\HISTSIZE='$E'' /etc/profilesed -i '/^HISTSIZE/a\TMOUT='$F'' /etc/profile

2.6、设置只有指定用户组才能使用su命令切换到root用户在linux中,有一个默认的管理组 wheel。在实际生产环境中,即使我们有系统管理员root的权限,也不推荐用root用户登录。一般情况下用普通用户登录就可以了,在需要root权限执行一些操作时,再su登录成为root用户。但是,任何人只要知道了root的密码,就都可以通过su命令来登录为root用户,这无疑为系统带来了安全隐患。所以,将普通用户加入到wheel组,被加入的这个普通用户就成了管理员组内的用户。然后设置只有wheel组内的成员可以使用su命令切换到root用户。

#! /bin/bash# Function: 修改配置文件,使得只有wheel组的用户可以使用 su 权限sed -i '/pam_wheel.so use_uid/c\auth            required        pam_wheel.so use_uid ' /etc/pam.d/sun=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`if [ $n -eq 0 ];thenecho SU_WHEEL_ONLY yes >> /etc/login.defsfi

2.7、对Linux账户进行管理#! /bin/bash# Function: 对系统中的用户做检查,加固系统echo "系统中有登录权限的用户有:"awk -F: '($7=="/bin/bash"){print $1}' /etc/passwdecho "********************************************"echo "系统中UID=0的用户有:"awk -F: '($3=="0"){print $1}' /etc/passwdecho "********************************************"N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`echo "系统中空密码用户有:$N"if [ $N -eq 0 ];then echo "恭喜你,系统中无空密码用户!!" echo "********************************************"else i=1 while [ $N -gt 0 ] do    None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'`    echo "------------------------"    echo $None    echo "必须为空用户设置密码!!"    passwd $None    let N-- done M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l` if [ $M -eq 0 ];then  echo "恭喜,系统中已经没有空密码用户了!" elseecho "系统中还存在空密码用户:$M" fifi

三、网络服务安全要经常检查系统的物理环境,禁止那些不必要的网络服务;充分了解系统和服务软件是如何工作的;经常检查系统配置和安全策略,并注意每天查看安全日志。

Linux 系统对外提供强大、多样的服务,由于服务的多样性及其复杂性,在配置和管理这些服务时特别容易犯错误,另外,提供这些服务的软件本身也存在各种漏洞,所以,在决定系统对外开放服务时,必须牢记两个基本原则:

只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少,所面临的外部威胁越小。

将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险。

四、系统设置安全时刻留意安全站点公布的,与 Linux 系统和软件有关的最新安全漏洞和报告;及早发现系统存在的***漏洞,及时安装系统补丁程序。

4.1、限制控制台的使用

4.2、系统关闭Ping可以把指令添加到文件/etc/rc.d/rc.local中去。

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

4.3、禁止IP源路径路由五、文件系统安全对一些重要信息(例如系统配置信息)建立并完善备份机制;对一些特权账号的密码设置要谨慎。

5.1、文件权限去掉不必要的suid程序,可以通过脚本查看。

find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;

5.2、备份与恢复定期对文件系统进行备份,可以将损失减小到最小程度。

服务器Linux系统安全升级相关推荐

  1. 使用linux集体升级系统,一:Linux系统的升级

    一:Linux系统的升级 今天我们说说yum系统,我们知道linux系统自带的工具up2date可以用来升级,却要用yum呢.其实大家知道,up2date 慢且经常失去响应:死机的情况.所以我们还是试 ...

  2. 阿里云国际版云服务器Linux系统数据恢复操作步骤

    在处理磁盘相关问题时,您可能会碰到操作系统中数据盘分区丢失的情况.本文介绍了Linux系统下常见的数据盘分区丢失的问题以及对应的处理方法,同时提供了使用云盘的常见误区以及最佳实践,避免可能的数据丢失风 ...

  3. mysql独立服务器_独立服务器linux系统mysql设置方法

    独立服务器linux系统mysql设置方法: 一,如果您要用root身份使用您的mysql数据库,那么您可以直接将您的mysql数据库文件上传到:/usr/local/mysql/data目录下面,修 ...

  4. [Machine Check机制]X86服务器Linux系统对于MCE的Log解析

    X86服务器Linux系统对于MCE的Log解析 Linux Log信息主要包括两部份内容: APEI的GHES(Generic Hardware Error Soure,通用硬件错误源)解析部分,对 ...

  5. 七日杀开服架设教程开服配置服务器搭建需要什么配置的服务器Linux系统

    七日杀开服架设教程开服配置服务器搭建需要什么配置的服务器Linux系统 新开放世界僵尸游戏 <七日杀>是由The Fun Pimps Entertainment研发的集合第一人称射击.恐怖 ...

  6. Linux下nvidia压力测试,一种服务器linux系统下GPU压力测试的监控方法与流程

    本发明属于服务器测试技术领域,具体涉及一种服务器linux系统下GPU压力测试的监控方法. 背景技术: 随着社会的快速发展,人们对高网络性能.快速存储.大量内存.超高计算能力的GPU的需求越来越大,产 ...

  7. 腾讯云服务器linux远程登录,腾讯云服务器Linux系统使用SSH工具登录远程教程

    对于大部分网友而言,如果我们选择腾讯云服务器的时候系统用Windows,那大部分网友都会登录的,直接在我们平时使用的WIN电脑远程连接即可操作,而且对于这个可视化操作系统对于经常玩服务器的用户来说也不 ...

  8. 服务器linux系统支持php好,关于Linux服务器系统的七大优势,你知道几个?

    Linux是开源的操作系统,主要支持PHP,在目前市场上Linux系统在互联网企业中使用率也是非常广泛的,具有不可或缺的作用,那么Linux服务器有哪些优势?总结了七点,你都知道吗? 1.开源:Lin ...

  9. 服务器linux系统安全加固设置方案

    对于咱们运维来说,咱们的Linux系统其实就是运维的女生,其实就是运维的女神.比如今天我一来,我发现我们这的运维小哥就拿一个朵玫瑰花直接插在服务器上,我当时给我吓一跳,然后嘴里还神神叨叨的念叨着一些东 ...

最新文章

  1. 对于广泛依赖外部资源的应用程序,请考虑在多处理器计算机上启用网络园艺
  2. [Codeforces] Round #320 (Div.2)
  3. 表格检测开源网络推荐
  4. vSphere开发指南1——vSphere Automation API
  5. Python 发送邮件 和 发送带附件邮件
  6. 玻璃体定点注入(个人猜想)
  7. debug pricing calculation rfc call
  8. 【前端就业课 第一阶段】HTML5 零基础到实战(四)伪类与伪元素
  9. iOS开发UI篇-在UItableview中实现加载更多功能
  10. centos系统linux复制命令行,linux系统CentOS7中find命令使用
  11. sim7020c功耗_SIM7020C物联网NB-IOT模块 simcom代理
  12. JavaScript学习指南集锦
  13. 富途、小牛与亿航股价齐飞, “新三傻”是大泡沫还是好未来?
  14. 【成都站报名】美团点评、蚂蚁金服、腾讯专家共论前端热点技术
  15. 亚特兰蒂斯_亚特兰蒂斯的命运与可下载内容的作用
  16. Kmeans、Kmeans++、Birch和KNN四种聚类算法对二维坐标点的聚类分析对比实验
  17. 三器六垢_本初行者劉暢友居士浅谈如何学佛(三)
  18. 在控制台,打印出某个具体的变量,并监听其变化
  19. ceph-deploy源码分析(三)——mon模块 转
  20. QT报错:Gtk-Message:Failed to load module “gail“

热门文章

  1. 利用aircrack-ng破解WIFI密码
  2. JavaScript中数据在内存中的存储方式
  3. Windows系统扩充C盘空间系列方法总结
  4. 7-16 藏头诗 (15 分)
  5. Java PDF转HTML、Word、图片、SVG、XPS、 PDF/A等格式文件
  6. CocosCreator中使用pureMvc
  7. ZoomIt快捷键 win10
  8. 《无线通信与网络》tcp udp 对比_TCP与UDP究竟谁更可靠?
  9. 9981难的哈尔滨的辛酸之旅
  10. 什么是Telnet?